Trojan.Ransom.Hitler 최근 히틀러의 사진을 이용하여 캐시 코드를 요구하는 랜섬웨어가 발견되었습니다. 히틀러라는 악명 높은 인물을 이용하여 감염된 사용자의 심리를 자극하기 위한 것으로 보이지만, 실제 분석결과 엉성한 구성으로 아직 초기 개발단계의 악성코드임을 확인 할 수 있었습니다. [그림 1] 히틀러 랜섬웨어 설치 시 화면 아직까지 국내에는 확산이 이루어지지 않았고 캐시 코드를 지불할 수 있는 방법도 쉽지 않아 큰 이슈가 되고 있지 않지만, 다른 랜섬웨어와 같이 고도화 및 감염 루트의 다양화를 통해 파급력을 키울 가능성도 분명 존재합니다.이번 분석보고서에서는 스스로를 히틀러 랜섬웨어라고 명명한 악성코드의 특징과 예방 방법에 대해 알아보도록 하겠습니다. 악성파일 분석 흐름도 히틀러 랜섬웨어..

악성코드 분석 리포트 2016. 10. 7. 15:35

2016년 이스트소프트 고객 초청 세미나 개최 안녕하세요. 알약맨입니다.이스트소프트가 지난 9월 29일, 30일 양일간 부산 벡스코와 역삼동 삼정호텔에서 고객 초청 세미나를 개최했습니다. 이번 세미나는 이스트소프트 제품을 사용하고 있는 기업의 안전한 사내 보안체계 수립을 위한 것으로, 총 200여개 고객사 담당자들을 모시고 성황리에 진행되었습니다. 알약맨은 지난 2014년, 이스트소프트 파트너 행사에서도 참여했었는데요! (▶관련 행사 다시보기) 이번에는 보안사업본부에 소속된 부문장과 부장, 두 분의 강연도 진행되어 이렇게 오랜만에 소식을 전해드리게 되었습니다. 먼저 이스트소프트의 알툴즈, 알약, 시큐어디스크 등 제품 영업을 총괄하고 계신 영업본부장의 키노트와 함께 세미나가 시작되었습니다. 이번 세미나를 ..

알약人 이야기 2016. 10. 4. 16:15

meizu 스마트폰, 모바일 랜섬웨어에 감염... 돈을 내야만 풀어준다部分魅族手机被恶意锁定 黑客勒索付费才能解开 최근 중국 meizu 휴대폰 사용자들이 랜섬웨어에 감염되어, 공격자에게 돈을 지불해야만 잠금을 해제할 수 있어 논란이 되고 있습니다. 9월 12일, meizu 휴대폰 사용자 게시판에는 많은 사용자들의 제보가 빗발쳤습니다. 자신도 모르게 휴대폰 화면이 잠기는 현상이 발생하고, 공격자가 돈을 지불하면 잠금을 해제해주겠다며 협박한다는 내용이었습니다. meizu는 이미 피해를 입은 대부분의 고객들에게 잠금해제를 할 수 있도록 조치를 취했다고 밝혔습니다. 그러나 기자가 meizu 홍보팀에게 총 몇명의 사용자가 피해를 입었고, 피해 정도는 어느 규모이며, 어떠한 조치를 취했는지 문의했지만 별다른 답변을 받..

국내외 보안동향 2016. 9. 22. 17:00

하드 드라이브 부트 레코드를 잠그는 HDDCryptor 랜섬웨어HDDCryptor Ransomware Locks Hard-Drive Boot Records 하드 드라이브의 MBR(마스터 부트 레코드)를 공격해 파일을 암호화 한 후, PC를 부팅할 수 없도록 하는 새로운 랜섬웨어가 발견되었습니다. 이는 HDDCryptor (또는 Mamba)로 명명되었으며, 2016년 1월부터 활동을 시작한 것으로 알려졌습니다. 관련하여 공개된 보고서에 따르면, 최근 HDDCryptor의 새로운 버전이 전 세계 사용자들에게 배포되고 있는 것으로 나타났습니다. 최근 새롭게 배포되고 있는 HDDCryptor를 처음 발견한 Morphus Labs의 보안 연구원인 Renato Marinho는 미국, 브라질, 인도 본부가 감염된 다..

국내외 보안동향 2016. 9. 20. 10:14

포켓몬 GO의 인기를 악용하는 랜섬웨어 DetoxCrypto 발견DetoxCrypto: Another Ransomware Riding the Pokemon GO Popularity Wave 새로운 랜섬웨어 변종 DetoxCrypto이 발견되었습니다. 현재 두 개의 버전이 발견되었지만, 앞으로 관련 변종이 추가적으로 발견될 것으로 보입니다. MalwareHunterTeam에서는 사용자 데스크탑의 배경화면으로 포켓몬 이미지를 사용하는 첫 번째 버전의 랜섬웨어를 발견했습니다. 이후 발견된 DetoxCrypto의 두 번째 버전은 일반적인 랜섬웨어 감염 알림창을 사용했으며, 첫 실행 시 사용자 데스크탑의 스크린샷을 찍을 수 있는 기능이 추가되었습니다. Intel Security의 연구원인 Marc Rivero L..

국내외 보안동향 2016. 8. 23. 13:24

사용자 파일 삭제하는 히틀러 랜섬웨어 발견Hitler Ransomware Deletes Users Files 사용자의 PC를 고장내고, 1시간 내에 돈을 지불하지 않으면 모든 파일을 삭제해 버리는 새로운 히틀러 테마의 랜섬웨어가 발견되었습니다. AVG 악성코드 분석가인 Jakub Kroust이 처음으로 발견한 이 새로운 변종은, 랜섬으로 25 유로 Vodafone 카드의 캐쉬 코드를 입력하라고 요구합니다. Bleeping Computer가 해당 악성코드를 분석한 결과, 악성코드가 실제로 파일들을 암호화 하지 않는 점에서 테스트 변종으로 보인다고 밝혔습니다. 또한 “대신 이 악성코드는 다양한 경로에 저장된 모든 파일의 확장자를 삭제해버린다. 이후 락 스크린을 표시하고, 락 스크린의 아래 쪽에 1시간의 카운..

국내외 보안동향 2016. 8. 12. 16:17

Cerber 랜섬웨어 v2 발견... 더 이상 복호화 불가Cerber Ransomware v2 Spotted Online, Is Now Undecryptable 지난달 가장 활동이 왕성했던 랜섬웨어인 Cerber가 지난주 업데이트되었습니다. 공격자들은 사용자가 무료로 복호화할 수 있었던 기존 툴을 무력화시켰습니다. 2016년 초에 발견된 Cerber는 몇 개의 언어로 '말하는' 기능을 가진 랜섬웨어입니다. 시간이 흘러, 해당 랜섬웨어는 근래 가장 많이 보이는 위협 중 하나가 되었습니다. 그 이유로는 보안 연구원들이 이를 해킹하려는 시도나 노력을 하지 않았고, 범죄자들이 이를 전보다 더욱 신뢰하기 시작했기 때문입니다. 몇 주 전, 트렌드마이크로가 Cerber를 포함한 몇 개의 랜섬웨어 패밀리로 인해 암호화..

국내외 보안동향 2016. 8. 9. 09:14

마이크로소프트 활성화 창으로 속이는 신종 랜섬웨어 발견New ransomware mimics Microsoft activation window 시만텍이 소셜 엔지니어링 기법을 사용하는 새로운 랜섬웨어 변종을 발견했습니다. 해당 랜섬웨어는 사용자에게 마이크로소프트 측에서 공식적으로 윈도우를 '재활성화'하기 위해 무료 전화번호로 전화하라고 하는 것처럼 현혹시킵니다. 윈도우를 재활성화하라는 것은 컴퓨터의 잠금을 해제하라는 의미입니다. 이는 악명 높은 기술 지원 사기와 랜섬 브라우저 잠금 사기의 한 갈래입니다. 시만텍이 Trojan.Ransomlock.AT라 탐지하는 이 위협(freedownloadmanager.exe)은 주로 미국에서 배포되고 있다는 사실이 밝혀졌습니다. 또한 제한적인 공격에서 사용되는 것이 ..

국내외 보안동향 2016. 8. 8. 16:08